Auditing (Summary)
Lecture notes, Studybook & Academic papers
Lecturer : Marc Welters, Eric Westhoek
Exams :
Auditing College 1
Date : 21-01-2022
Auditing wordt gedefinieerd als het vergaren- en evalueren van bewijslast over het informatiesysteem.
Waarbij wordt vastgesteld in hoeverre het informatiesysteem informatie genereert conform de gestelde
criteria. Auditing moet dan ook altijd worden uitgevoerd door een competente en onafhankelijke persoon.
Accounting is het vastleggen, classificeren en samenvatten van economische transacties om financiële
informatie te genereren voor beslissingen nemen.
Auditing is het doen van onderzoek door een onafhankelijke auditor met als doel om aanvullende
zekerheid te geven aan de opdrachtgever en belanghebbenden.
Voorbeelden van audit zijn: Financial Audit (jaarrekeningocntrole), Operational Audit, IT-audit, Compliance,
Certificering (ISO/NEN), beoordeling gedrag of cultuur, medische keuring, APK. Auditing is geíntroduceerd om
een zekere mate van zekerheid (oordeel/advies) te geven over de kwaliteit (betrouwbaarheid/contiuïteit)
verstrekt door een onafhankelijke deskundige. Hierbij is aandacht voor kwaliteit van process, bedrijfsvoering,
interne beheersing, beveiliging en compliance.
Een audit levert een product op, dit is een: Opdracht, rapport (met oordeel, bevindingen en aanbevelingen),
eventuele presentatie, rapportage conform standaarden (IFRS, ISAE etc.) of dossier.
Een audit bestaat uit een opdrachtbevestiging, waarbij de klant gebruik gaat maken van diensten van de
auditor. Belangrijke onderdelen van deze bevestiging zijn (o.a.):
Honorarium
Scope van werkzaamheden
Deadline
Afgesproken kosten
Gedurende de audit leg je een audit-dossier aan met bewijslast welke uiteindelijk leidt tot het oordeel.
Betreft professionele diensten die leiden tot een (eind)rapport
Primair verantwoordingsinstrument van uitgevoerde werkzaamheden
Secundair ondersteuning uitvoering en toezicht
Moet toegankelijk zijn voor een ervaren IT-
auditor
Moet volledig beeld geven van uitgevoerde
werkzaamheden, afwegingen, analyses en
besluitvorming / oordeelsvorming (Richtlijn
geeft overzicht van relevante documenten /
auditinformatie)
Let op ontwikkelingen na onderzoeksdatum,
voor rapportdatum
Dossier afsluiten (max 60 dagen na datum
conclusie / advies); dan geen wijzigingen
meer
Wettelijke bewaartermijn (minimaal 7 jaar)
,De kwaliteit van de audit wordt sterk bepaald door:
Auditor (deskundigheid, objectiviteit, geheimhouding en ‘beroepsregels naleving’)
Eisen van de uitvoering (planning, uitvoering, rapportage)
Kwaliteitsbeheersing en kwaliteitstoezicht.
Een audit is opgebouwd uit fases: (1) voorbereiding (vooronderzoek, opdrachtsverstrekking/acceptatie) (2)
Uitvoering (initiële beoordeling, bepalen SOLL positie, bepalen IST-positie, analyse soll-ist, evaluatie
oordeelsvorming) (3) Afronding (rapportage, dossiervorming, uitbrengen rapport en evaluatie)
Figure 1: Handleiding voor bepalen: Doelstelling audit, object van onderzoek, scope en afbakening,
kwaliteitscriteria, normen.
Een object moet: identificeerbaar zijn, makkelijk te toetsen, moet informatie beschikbaar zijn
en is controleerbaar.
,Auditing College 2
Date : 21-01-2022
Casus: Batana - App
Nederland is momenteel getroffen door een pandemie. Een nieuw virus, Batana, is zodanig besmettelijk, dat de
regering heeft besloten dat er zoveel mogelijk vanuit huis moet worden gewerkt. Tevens, om besmettingen in het
land zoveel mogelijk te kunnen monitoren en te onderzoeken waar ‘haarden’ zijn wordt aan een app gedacht die mensen
moeten gaan installeren op hun smartphones. Via de informatie uit de app kan worden geanalyseerd wie waar bij wie in
de buurt is geweest en zo wordt getracht verdere besmettingen te vermijden. Er is echter nogal wat publiek en
maatschappelijk rumoer rond de app. De demissionaire Minister van Volksgezondheid is het gezeur van de Kamer
spuugzat. Op het ministerie wordt koortsachtig overleg gepleegd om in samenwerking met mogelijke leveranciers tot een
optimale app te komen. Dit vindt plaats met gebrekkige computerondersteuning en communicatie. Het gevolg is dat veel
informatie niet up-to-date is waardoor het systeem en de coördinatie niet effectief werkt. Een voormalig ambtenaar,
inmiddels eigenaar van softwarebureau Batapp, heeft naar eigen zeggen een app ontwikkeld dat een goede oplossing zou
bieden. De back-end van het systeem draait onder software van Microsoft, in de Azure Cloud, een voor het ministerie
bekend platform. De datacollectie vindt plaats via het Internet en komt van alle gebruikers die akkoord zijn gegaan met
deze collectie toen zij de app installeerden . Het RIVM kan zo de ontwikkelingen ‘live’ monitoren . Ook het ministerie kan
desgewenst gegevens raadplegen . De app kost inclusief installatie een half miljoen euro en de jaarlijkse
licentie/onderhoudskosten zijn 50.000 euro. De minister heeft vanwege de Batana-crisis een bezuinigingsoperatie lopen
en heeft nauwelijks geld voor nieuwe dingen.
De directeur van Batapp heeft bij de minister een pleidooi gevoerd om de app aan te schaffen. De minister voelt
daar wel voor maar is beducht om geld te steken in de zoveelste ICT luchtballon, zeker gezien de maatschappelijke
discussie. Daarom wordt besloten een audit op de app te eisen. De leverancier is daartoe wel bereid, maar wil dan
wel zelf graag de opdrachtgever zijn, ofschoon het ministerie de kosten betaalt. Het ministerie heeft hiervoor
30.000 euro voor beschikbaar.
U wordt door de minister als externe auditor om advies gevraagd.
1. Welke dilemma’s u ziet bij het (laten) uitvoeren van het gevraagde onderzoek
(audit)?
Rondom de app- en de audit in het geheel zijn een aantal dilemma’s. (1) Allereerst is het een audit voor de overheid
rondom een maatschappelijk beladen thema. Het audit rapport zal openbaar worden gepubliceerd, een fout in de audit
kan leiden tot imagoschade. Daarnaast is vanuit de (2) overheid niet duidelijk wat men wil met de audit op de app of de
scope van de audit. Test men op functionaliteit, beveiliging, privacy of effectiviteit van deze app. (3) Men benoemd de
kosten van de app, maar niet de totale investering, (4) In de opdracht is nog niet duidelijk wie de opdrachtgever zal zijn.
Aanvankelijk wil batapp, de ontwikkelaar van de app, de opdrachtgever zijn. Dit kan niet vanwege de onafhankelijkheid
van de auditor. In dit geval zal de minister de opdrachtgever moeten zijn. Verder zijn er geen (4) Duidelijke normen,
criteria of audit-object gedefinieerd
2. Gaat u mee met het voorstel een audit te laten uitvoeren?
De belangrijkste vraag hier is waarom er een probleem is en dus een audit nodig is. De oorzaak kan (1) een slecht systeem
zijn (2) tegenwerking vanwege andere belangen of andere oorzaken. Daarom is het belangrijk dat er een objectieve
normering is voor het onderzoek/audit kan plaatsvinden.
3. Indien ja, wat zou de doelstelling en inhoud van deze ‘audit’ (waaronder object
van onderzoek,
criteria, normen, etc.) moeten of kunnen zijn?
Indien onderzoek uitwijst dat een audit mogelijk is – en dus de app ge-audit kan worden. Moet er stil worden gestaan bij
de doelstelling – en inhoud:
Beperkt het onderzoek tot het systeem, denk aan randvoorwaarden zoals technische infrastructuur
, Beperkt het onderzoek naar veiligheid en/of privacy dan moeten er van tevoren duidelijke normen gesteld
worden waartegen ge-audit kan worden.
4. Wie zou als opdrachtgever moeten of kunnen optreden?
In deze casus zijn er meerdere betrokkenen met verschillende belangen. Het is de verantwoordelijkheid van de auditor
om te bepalen of de betrokken opdrachtgever een belang heeft bij de opdracht en/of invloed heeft op de opdracht. De
auditor moet namelijk op een vaktechnisch verantwoordelijke wijze de audit kunnen uitvoeren zonder dat de opdracht
en/of de uitkomsten worden beïnvloed door de opdrachtgever.
De minister is het meest onafhankelijk, hij wil duidelijkheid over de werking van de app. Hij heeft geen directe
baat bij het contract met de leverancier. Hij wil duidelijkheid of de app werkt.
De directeur heeft een direct belang, als de app faalt loopt hij een winstgevend contract mist en heeft hij een
gezichtsverlies bij een negatief oordeel
De leverancier heeft een natuurlijk belang, hij is overtuigd van de kwaliteit van het systeem en verwacht een
positief oordeel
Tweede kamer is momenteel geen partij.
In deze casus is de minister de beste opdrachtgever.
5. Aan wie moet de opdracht worden verstrekt?
Gezien dit een publiekelijk debat is, is het noodzakelijk om een onafhankelijke externe deskundige het onderzoek uit te
laten voeren. Een kantoor (e.g. Big-4) zal vaak deze opdracht mijden i.v.m. controverse rondom de uitkomst van het
onderzoek.
6. Zijn er voorwaarden die aan de uitvoering van deze opdracht moeten worden
gesteld?
Ja, het onderzoek is op een vaktechnisch verantwoorde wijze uitgevoerd, waarbij de auditor in zijn werkzaamheden niet is
beperkt door de opdrachtgever. Daarnaast moet rekening gehouden worden dat dit een publiekelijk document wordt. Dit
stelt eisen aan de leesbaarheid, inhoud en verspreiding van het document aan niet directbetrokkenen (e.g. burgers).
Norea is de beroepsorganisatie voor IT-auditors in nederland en een tegenhanger van de NBA
(Nederlandse Beroepsorganisatie voor Accountants). Vanuit NORA zijn er richtlijnen en regels
opgesteld waaraan de IT-auditor zich dient te houden:
Figure 2: Reglement = regels beroepsuitoefening (code of ethis / gedragscode), Richtlijn =
dwingend karakter , Handreiking = richtinggevende beschrijvingen van methodes, technieken en
of normen, Regeling e.g. permanente educatie.
Om de 4 jaar wordt elke IT-audit organisatie onderworp aan een kwaliteitsonderzoek van IT-
audit dossiers. Deze wordt uitgevoerd vanuit NOREA om ervoor te zorgen dat werkzaamheden
voldoen aan de gestelde normen. Daarnaast dient elke IT-audit organisatie een self-
assessment op kwaliteit audit-dossiers uit te voeren op jaarlijkse basis.